¿Mi computadora está intentando descargar algo malicioso de Dropbox?

Navega tus respuestas
2

La computadora de mi esposa se vio comprometida recientemente y he intentado limpiarla.

Instalé Microsoft Network Monitor para ver si había algún tráfico de Internet inexplicable y noté una conexión a Dropbox. Aquí están los detalles dados: 

URI: /subscribe?host_int=34404476&ns_map=162130732_8752065324,26351085_36339744642541,129513375_382381602719&user_id=16845707&nid=0&ts=1386575431

Host:  notify8.dropbox.com

Process Name Dropbox.exe

Nota, ni yo ni mi esposa usamos Dropbox. Revisé la fecha de instalación para la instancia de Dropbox que está en su máquina y tiene una fecha de instalación de mayo de este año, por lo que probablemente no se instaló como parte de cualquier virus, etc., que haya infectado la máquina.

Intenté realizar una búsqueda inversa en IP 108.160.162.115 y no obtuve nada.

¿Parece que la máquina de mi esposa está intentando conectarse a una cuenta de Dropbox en particular para recuperar algún software (posiblemente malicioso)?

    
pregunta going 09.12.2013 - 09:06
fuente

2 respuestas

4

Si su sistema ha sido controlado, un atacante podría manipular las fechas de instalación de cualquier software, por lo que cualquier cosa que vea en un sistema pirateado debe ser tratada con dudas. La dirección IP que mencionaste es una IP de Dropbox válida , sin embargo, eso no significa nada. Si escribiera un malware, consideraría seriamente usar Dropbox para distribuirlo. Es robusto, completamente gratuito, y la gente probablemente lo descartará como un vector de amenaza: "Oh, eso es solo Dropbox, no te preocupes por eso".

Por lo tanto, es totalmente posible que el malware instalado utilice un proceso etiquetado de Dropbox para conectarse realmente a Dropbox y descargar las últimas versiones de malware e instrucciones de operación, aunque ese escenario no es particularmente probable. Es mucho más probable que esto sea realmente una instalación de Dropbox completamente legítima que no recuerdes haber instalado, y por lo tanto es una pista falsa. Desafortunadamente, no hay forma de saberlo con seguridad, ya que una vez que se hackea un sistema, nunca se puede volver a confiar. Lo mejor que puedes hacer es limpiar tu sistema y comenzar de nuevo.

    
respondido por el GdD 09.12.2013 - 10:56
fuente
2

Para responder a su pregunta, parece que la computadora portátil de su esposa está tratando de conectarse a esa IP. Reinicie la máquina y, sin abrir un navegador, ejecute netstat -ano desde el símbolo del sistema.

Si ve la IP allí, o si hay alguna conexión dudosa para el asunto de la salida de este comando, tome nota del PID (Identificador de proceso) asociado con esta conexión de la quinta columna. Luego, abra el Administrador de tareas (con Ctrl+Shift+Esc ), y vaya a Ver - > Seleccionar columnas ... .

Aparecerá un nuevo cuadro de diálogo Seleccionar columnas ; Marque / marque el segundo elemento PID (Process Identifier) . Si encuentra el mismo PID que tomó del comando netstat -ano , lo más probable es que este PID esté relacionado con un proceso, que podría servir como una pista para saber qué archivo está iniciando la conexión.

Luego, puede reiniciar la computadora en Modo seguro y eliminar el archivo, si está seguro de que esto no interrumpirá su sistema operativo.

También, puede verificar algunas ubicaciones estándar. Compruebe esta pregunta Una vez le pregunté: podría proporcionar alguna idea.

Vuelva a ejecutar un análisis antivirus.

También puede bloquear esta IP para que no entre o salga de su firewall perimetral.

Habiendo dicho todo esto, todo está bien si solo quieres jugar y ver los lugares donde el malware puede interactuar. Aún así, el curso de acción recomendado es un Nuke completo de su sistema operativo . Definitivamente no dejaría el portátil de mi esposa con algunas sobras poco fiables.

    
respondido por el Lex 09.12.2013 - 16:35
fuente

Lea otras preguntas en las etiquetas

¿Hay “IP de LAN” en Internet? ¿Qué hace este código potencialmente malicioso? [cerrado]